Netgate SG-1000 microFirewall

Show Posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.


Messages - jdh

Pages: [1] 2 3 4 5 ... 117
1
Français / Re: Installation pfsense sur ESXi 6.5
« on: Today at 03:02:23 am »
Comme toujours ccnet est plus précis que moi !
Vous pouvez ajouter plusieurs vswitchs pour le côté 'LAN' pour isoler au mieux chaque VM.
En particulier, un vswitch consacré à l'interface LAN, qui ne contiendra aucune VM, sera une extrémité d'un VPN (OpenVpn) afin d'administrer par l'ip LAN le pfSense.

Ce qui est surprenant, c'est que vous dites avoir 2 interfaces physiques.
Si c'était réellement le cas, il pourrait y avoir un doute sur la 'bonne' : quelle est la correcte pour WAN ?


Concernant l'exposition de services, il est noter que
- pour HTTPS (HTTP), il peut être judicieux de mettre en place un reverse-proxy 'avant' votre serveur HTTPS, par exemple vulture cf https://www.vultureproject.org/
- pour SSH, il est rare de l'exposer puisque un VPN sécurise mieux. Si vous voulez vraiment le faire, à minima, limitez les risques : refus de root, utilisation de certificats plutôt que password, fail2ban.
(Si le besoin est un transfert de fichier via SSH, plutôt qu'utiliser le SSH de la VM, on utilisera un service SFTP distinct, par exemple ProFTPD avec une config SFTP.)

2
Français / Re: Installation pfsense sur ESXi 6.5
« on: February 19, 2018, 06:23:17 am »
Bravo pour l'utilisation du formulaire : vous fournissez de l'info facilement compréhensible, et c'est bien.

Sur un serveur dédié (suffisamment mémorisé), il est possible d'installer un ESXi et de réaliser un schéma logique tel

Internet <-> (WAN) pfSense (LAN) <-> plusieurs VM

A ce schéma logique doit correspondre une config VMware (c'est la difficulté).
Il faut bien sur :
- 2 vswitchs : l'un connecté à l'interface physique réelle du serveur dédié, l'autre sans interface physique (je doute que le serveur dédié ait 2 interface physique)
(Une bonne idée : les nommer WAN et LAN ?)

Le pfSense sera une VM avec 2 interfaces réseaux : une dans chaque vswitch.
Alors que les VM internes n'auront qu'une seule interface dans le 2ième vswitch.

Ce lien, un peu ancien, semble0correspondre au besoin : https://akril.net/2015/08/08/configurer-votre-ip-fail-over-sur-votre-serveur-ovh-soyoustart/


Je ne peux que vous préconiser de vous faire la main localement (=au bureau) avec un simple PC (avec processeur VT capable forcément).

3
Français / Re: Nouvelle installation PF Sense
« on: February 19, 2018, 05:28:58 am »
Si j'ai écrit que le post initial ne respectait pas le formulaire A LIRE EN PREMIER, c'est que c'était un inventaire et une recherche de schéma.
Il est calir qu'il est alors difficile de préciser WAN, LAN, ...

Je réécrit les choses déjà écrites pour être bien compris :

- Les livebox :
   * si on veut utiliser pfSense, ce n'est pas pour utiliser le Wifi des livebox en amont ! (ceux qui écrivent le contraire vous donne un mauvais conseil)
   * on a donc intérêt à remplacer les Livebox par les boitiers DSL-320 : mais cela peut dépendre du type d'accès Internet, p.e. je remplace des Neufbox par des DSL-320B pour des ADSL SFR.
- Point d'accès Wifi :
   * même avec 2 antennes et 2 fréquences, le WAC104 ne propose qu'un (B)SSID, donc un seul signal (et sans VLAN)
   * puisque vous avez besoin de 2 signaux Wifi, il vous faudra soit 2 point d'accès soit un nouveau (Chez Netgear vous pouvez chercher WAC505, WAC510, WAC720 ou WAC730)
- Les switchs Zyxel doivent permettre, grâce au VLAN, d'avoir plusieurs réseaux : par exemple, les PC d'un côté, les serveurs (NAS) de l'autre.

Bien sur les réseaux seront distincts sur chaque site : exemple

site 1
LAN/ PC : VLAN 8, adressage 192.168.8.0/255.255.255.0
LAN / SRV : VLAN 9, adressage 192.168.9.0/255.255.255.0
WIFI / Bureau : VLAN 10, adressage 192.168.10.0/255.255.255.0
WIFI / Guest : VLAN 11, adressage 192.168.12.0/255.255.255.0

site 2
LAN/ PC : VLAN 16, adressage 192.168.16.0/255.255.255.0
LAN / SRV : VLAN 17, adressage 192.168.17.0/255.255.255.0
WIFI / Bureau : VLAN 18, adressage 192.168.18.0/255.255.255.0
WIFI / Guest : VLAN 19, adressage 192.168.19.0/255.255.255.0

Comme vous n'avez pas précisé le type d'accès Internet, et que je suppose qu'il s'agit d'ADSL, je répète qu'il ne faudra pas s'attendre à une grande performance d'un VPN.
(VPN plutôt IPsec mais OpenVpn peut aussi très bien fonctionner ...)

NB : Il est nécessaire de crypter les signaux Wifi, c'est votre responsabilité légale qui est en jeu (si on l'utilise à votre insu) !

4
Français / Re: Nouvelle installation PF Sense
« on: February 17, 2018, 08:42:22 am »
Même si ce premier post ne respecte pas le formulaire A LIRE EN PREMIER, il est intéressant car il y a des informations !

Concernant le matériel existant :
- Les boitiers DLINK DSL-320B doivent permettre de ne pas utiliser les Livebox = s'utilisent à la place
   + l'avantage est que le wifi des livebox ne sera pas dispo !
- Les point d'accès Netgear WAC104 sont 'entrée de gamme mais AC'
   + AC signifie un wifi performant (=mieux que N)
   } MAIS ils n'ont qu'un seul (B)SSID = un seul signal, ce qui n'est pas terrible pour l'entreprise
- Les switchs ZYXELL sont ok mais peu fréquent :
  + des switchs 24 ou 48 ports 10/100/1000 administrables et de marque tel Aruba, HP, + autres, sont plus intéressants
  + mais ils doivent gérer des VLAN

Concernant les réseaux,
Ce qui importe en entreprise, c'est que le firewall (pfSense), soit à la croisée des réseaux :
- WAN = connexion vers Internet, forcément distincte
- LAN = réseau interne
le réseau interne LAN peut (et doit) être découpé soit physiquement (souvent pour la DMZ) soit logiquement par VLAN.
Donc on choisir des n° de VLAN et on configure le(s) switchs) et le pfSense avec ce choix.
En particulier le Wifi se séparent avec plusieurs (B)SSID chacun sur son VLAN (d'où les points d'accès multi-SSID)

Au niveau du pfSense, il est aisé d'indiquer les VLAN et de créer l'interface qui sera sur ce VLAN, et ainsi de gérer finement les règles de flux inter VLAN=inter-interfaces !


NB : il est clair que si vous laissez les Livebox avec leur Wifi, aucun filtrage n'est possible puisque les Livebox sont en amont du pfSense, d'où l'importance de passer à DSL-320B.

Enfin si vos lignes Internet sont des ADSL, il ne faudra pas attendre de miracle d'un VPN entre les sites puisque la perfomance sera basée sur le débit montant des ADSL soit moins d'1Mb en général.
 

5
Français / Re: Erreur aprés migration en 2.4.2
« on: February 13, 2018, 11:27:18 am »
La migration est majeure car vous avez passé de 386 à amd64 !
Vous avez conservé une sauvegarde de la version précédente (fichier .xml).

Si la restauration de la sauvegarde ne fonctionne pas, il est possible de faire des 'restaurations partielles'.

L'idée est de partir du serveur fraichement installé avec la nouvelle version, donc config à 0.
On configure le LAN correctement et on fait une sauvegarde.
Dans le fichier .xml, on incorpore la sauvegarde originale par petit bout : la section <interfaces>, puis les <aliases>, puis les <rules>
On peut voir ainsi si la config se reconstruit correctement.

Il est notable, que pour les interfaces, du fait de 386/amd64 ou pas, les interfaces physiques BSD peuvent changer ...

6
Français / Re: pfsense ne demarre pas sans écran branché
« on: February 12, 2018, 10:36:26 am »
Cela semble une problématique matérielle.

Avant de regarder si le 'Shuttle sans écran' démarre pfsense, il faut être sûr que le 'Shutle avec écran' démarre pfsense.
Votre description n'assure pas ce démarrage.

En particulier, il est notable qu'il existe des 'live-cd' de pfsense : ces images démarrent sur cd avec une config vierge.
Le cas usuel des débutants est
- démarrage d'un live-cd
- config de base + modif de config + tests
- MAIS oubli d'install sur le disque
Bilan : le pc ne démarre pas pfsense puisque pfsense n'a pas été installé sur le disque ! En outre la config est perdue !

Donc, si 'live-cd', avant de commencer à configurer
- install sur le disque dur
- redémarrage : vérif que pfSense démarre correctement
- config

7
Français / Re: VPN
« on: February 08, 2018, 06:45:25 am »
@Chris1496 : Puisque vous êtes si fort, pourquoi n'avez vous pas alors répondu ?
Qu'il est facile d'écrire n'importe quoi maintenant que le texte original a été effacé !
Faites donc profiter les autres de votre science ....
Je vous mets au défi de faire un tuto 'complet' pour faire un VPN avec L2TP avec ce qu'il faire, ce qu'il ne faut pas faire., install du client, paramétrage des 2 côtés, la vérification du fonctionnement, ...
(Je ne risque pas grand chose ... vous n'avez jamais fait le moindre tuto !)


Si j'ai recommandé d'essayer OpenVPN, c'est que cela fonctionne très bien et très vite, mais aussi parce que j'ai essayé et JAMAIS réussi L2TP.
Je doute fortement qu'il en ait beaucoup qui ait réussi ...
Cela n'a rien à voir avec le fond, la forme. C'était un conseil pratico-pratique, et c'est que l'on peut attendre sur un forum.

8
Français / Re: VPN
« on: February 07, 2018, 07:01:47 am »
Ce fil a été vidé par son auteur.

Face à un entêtement à (tenter de) réussir un VPN basé sur L2TP/IKE, Ccnet et moi avons suggéré de réussir (vite) avec OpenVPN.

Cela a sans doute vexé ...
 

9
Français / Re: VPN traffic avec app sur client Ne marche pas
« on: February 06, 2018, 11:47:34 am »
Parce qu'Android ne supporte pas OpenVpn ? On m'aurait menti ? (Les tests que j'ai réussi n'auraient pas fonctionné ?)

10
Français / Re: pfSense en client OpenVPN, aucun trafic ne passe
« on: February 06, 2018, 11:44:27 am »
Vous avez fourni des infos, donc on peut interpreter et mettre en forme de façon lisible, c'est l'espérience. (Y compris de parler du patron !)
J'essaie d'être factuel et précis, je situe les problématiques, la question n'est pas d'être 'tendre' ou 'pas tendre'.

Si une config client est à reproduire, il faut observer que le fichier texte de conf du client est plus lisible que le formulaire web de conf client de pfSense !
Et en particulier les certificats sont à importer puisque la config les sélectionne avec une liste !
Et il y a une palanquée d'options qui doivent être en correspondance.

La suite est de comprendre quoi faire sur pfSense avec ce qui est fourni par le serveur, en l'occurence le 'push route' !
Encore une fois, il faut observer le client sur un PC : il reçoit une ip, une push route, où les voit-on ? et vient, comment les utiliser dans pfsense ?

Pour la règle OpenVpn, pourquoi ne pas en écrire 2 en précisant les sources et destinations (en l'occurence 2 réseaux)

Et là, vous devriez prendre conscience que si la conf client doit être identique, il y a une grande différence entre un PC client et un pfSense client !
Dès que la différence sera bien comprise, il restera à trouver l'astuce pour faire croire au Synology qu'il n'y a qu'un client (j'en ai trop dit).

11
Français / Re: VPN traffic avec app sur client Ne marche pas
« on: February 06, 2018, 11:17:48 am »
Ce que je veux dire, en terme plus simple :

Je suis un 'vieux' routier de pfSense, et en particulier des VPN.
J'ai utilisé le vieux PPTP (qui a heureusement disparu).
J'ai tenté le L2TP (pfsense serveur ou un serveur Windows) : sans AUCUN succès.
J'ai réalisé des OpenVPN et pour plusieurs pfSense différents, et plusieurs config
Bien évidemment site à site Ipsec et aussi OpenVPN (c'est moins bon).

Bref, plutôt que chercher longtemps, OpenVPN est plus simple et plus rapide à mettre en route.

12
Les débutants doivent regarder A LIRE EN PREMIER.

Il y a 2 types de personnes :
- ceux qui essayent et continuent à essayer des trucs compliqués
- ceux qui choissisent le truc qui marchent vite et bien.

Dans le cas de PC (W7/10), le vpn 'roadwarrior' qui fonctionne bien, c'est OpenVPN.

13
Français / Re: pfSense en client OpenVPN, aucun trafic ne passe
« on: February 05, 2018, 11:58:27 am »
Il n'y a guère de réponses car tout cela est très confus !


Cas 1 : (opérationnel)
Synology (srv OpenVpn) <-> Box <-> Internet <-> Box <-> (Wan) pfSense (LAN) <-> pc client

Le cas est indiqué comme opérationnel : pc client avec Openvpn Gui (donc config).
(Suppose qu'il y a une règle dans LAN pour autoriser la sortie vers ip box Maison pour proto OpenVpn et que la Box maison fait le forward vers le Synology)

Cas 2 : (non opérationnel)
Synology (srv OpenVpn)  <-> Box <-> Internet <-> Box <-> (Wan) pfSense

Le souhait est que pfSense soit client OpenVpn, ce dont il est largement capable.
Mais on ne comprend pas l'intérêt : tout le monde sur le LAN aurait accès ? (stupide)

Il y a surtout une évidence : si pfSense doit être client, il doit être dument configuré avec la même config que le PC client, en particulier les certificats !
Mais sur le sujet, rien, nada.
NB : si pfSense est client, il n'y a aucune règle à ajouter pour WAN, LAN, ... car les règles WAN, LAN, ... concernent des flux entrants par ces interfaces.
Sauf bien sûr sur l'interface OpenVPN !!


Cela donne l'impression, qu'il n'y a pas de logique pour coller à un fonctionnement, c'est un peu au petit bonheur, ce qui n'est pas la meilleure des méthodes ...

NB : Vous avez de la chance d'avoir un patron qui vous autorise au boulot à accéder à votre chez vous ...

14
Français / Re: Erreur DNS PfSense transparent
« on: February 01, 2018, 03:53:37 am »
WPAD est un protocole précis et reconnu par les navigateurs : IE, EDGE et Chrome l'utilise 'out of the box', pour Firefox, il faut cocher une option qui n'est pas par défaut.
Si au niveau du firewall, on n'autorise SEULEMENT le proxy à avoir accès à Internet (http, https), forcément il faudra que les navigateurs trouvent le proxy.
Néanmoins de (très) nombreux programmes ont une option de 'mise à jour' et recherche sur Internet : rares sont ceux qui savent trouver le proxy !

Ccnet ou moi vous avons expliqué les problèmes inhérents aux proxies et firewall.
A de multiples reprises sur le forum cela est écrit, réécrit, (et vous avez même un contributeur qui tient des discours variés, alternant le oui et le non).

Commencez donc par lire ...

15
Français / Re: Erreur DNS PfSense transparent
« on: January 31, 2018, 08:10:05 am »
A partir d'un certain volume (vous voyez), la config à recommander est
- un proxy dédié (et séparé du firewall),
- la méthode WPAD implantée.

Cela a plusieurs avantages connus :
- moindre charge sur le firewall
- machine dédiée ajustable en terme de ressources
- machine ajustée en termes de fonctionnalités : rotation des logs, visu des logs, authentification si besoin, ...
Bien évidemment, l'inconvénient majeur est connu :
- c'est à soi de faire !

Je ne reviens pas sur l'aspect légal clairement décrit par ccnet (à très juste titre).
Je préconise de bien prendre en compte cet aspect, dont certains passent par dessus ...

L'aspect 'transparent' est une fausse bonne idée
- ça ne fonctionne que sur http et non https,
- il est impossible d'authentifier.

L'aspect 'je casse https' est évidemment mauvais comme exposé (doctement) par ccnet.
En sus, avec HSTS, cela ne devrait même être impossible ...

Pages: [1] 2 3 4 5 ... 117